关于客户端到站点 VPN 服务器
客户机 VPN for VPC 提供客户机到站点的连接,这允许远程设备使用 OpenVPN 软件客户机安全地连接到 VPC 网络。 对于希望从远程位置 (例如,在家办公) 连接到 IBM Cloud,同时仍保持安全连接的远程办公人员,此解决方案非常有用。
亮点包括:
- 基于因特网的 TLS 1.2/1.3-based 安全/加密连接
- 支持独立 (试验) 和高可用性 (生产) 部署
- IBM Public Cloud 上的专用互连经典 IaaS 和 VPC
- 在全球所有 MZR 中的可用性
- 跨区域的高可用性,提供更好的性能和灾备能力
- 通过集成认证方法提供额外的安全层
体系结构
图 1 说明了用于将资源连接到 VPC 和从 VPC 连接到资源的示例 VPN 服务器设置。 VPN 服务器在用户 VPC 中的两个子网上供应。 还有两个 VPN 服务器成员以主动/主动高可用性 (HA) 方式工作。 所有 VPN 服务器成员都可以与目标资源进行通信。 为每个成员分配了一个公共 IP 地址,并为 VPN 服务器创建了 DNS 主机名记录。 主机名将解析为 VPN 成员的公共 IP 地址。 VPN 客户端通过 DNS 解析获取两个公共 IP 地址,并随机尝试两个 IP 地址与其中一个 VPN 成员连接。 如果一个成员已关闭,那么 VPN 客户端会尝试重新连接并切换到活动的 VPN 服务器成员。
DNS 服务作为 VPN 服务的一部分进行部署。 提供的 DNS 名称以 appdomain.cloud
结尾。

入门
要开始使用 Client VPN for VPC,请执行以下步骤:
- 查看 VPN 服务器的规划注意事项。
- 完成 开始之前 中的所有先决条件。
- 在子网中供应独立 VPN 服务器,或在两个子网中供应高可用性 VPN 服务器。 有关指示信息,请参阅 创建 VPN 服务器。
- 创建 VPN 路由。
- 设置 VPN 客户机环境并连接到 VPN 服务器。
VPN 服务器用例
以下是实现 IBM Cloud Client VPN for VPC 服务的一些方法:
用例 1: 在已部署的 MZR 中访问 VPC
VPN 服务器部署在所选多专区区域 (MZR) 和 VPC 中。 可以从单个 VPC 中的 VPN 客户端访问所有虚拟服务器实例。

用例 2:VPN 客户端可以通过 VPN 服务器访问因特网
当管理员以全隧道方式强制实施 VPN 服务器时,来自客户设备的所有流量都将发送到 VPN 服务器,包括因特网流量。 VPN 服务器通过 IBM Cloud 基础结构将流量转发到因特网。

用例 3: 与 Transit Gateway 集成
通常,建议在多个区域中供应 VPC 资源以实现冗余。 要从个人设备访问所有区域中的资源,一种方法是针对每个 VPC,每个区域创建一个客户机到站点 VPN 服务器,并建立与所有 VPN 服务器的 VPN 连接。 您还必须使用此方法维护多个 VPN 服务器。 这可能是一种不便,但它是一种更安全的方法。 另一种方法是使用运输网关来连接所有这些 VPC。 因此,只需要一个 VPN 服务器即可访问 VPC。

将客户机到站点 VPN 服务器与 Transit Gateway 集成时,必须将目标设置为其他 VPC 或经典网络中子网的 CIDR 的一个或多个 VPN 路由添加到其他 VPC 或经典网络中,并将路由操作设置为 Deliver
或 Translate
。 有关更多信息,请参阅 管理 VPN 路由。
用例 4: 与站点间 VPN 网关集成
如果要在连接到 IBM VPC 的同时访问本地专用网络,请与站点间 VPN 网关集成。 此用例将除去同时维护多个 VPN 服务器的需求。 您可以直接从客户机到站点的 VPN 服务器访问本地专用网络。
